Investigadores han descubierto una vulnerabilidad catastrófica en la extensión "Claude in Chrome". Mediante el uso de extensiones maliciosas que parecen inofensivas, atacantes invisibles pueden secuestrar el asistente de IA para robar silenciosamente mensajes privados de Gmail, documentos restringidos de Google Drive y repositorios secretos de GitHub.

Un ataque a la cadena de suministro denominado GlassWorm, dirigido al mercado Open VSX, se ha intensificado con el descubrimiento de 73 nuevas extensiones "durmientes". Identificado en abril de 2026, este grupo representa un peligroso cambio en la forma en que los actores de amenazas distribuyen malware a desarrolladores de software. Esta actividad sigue a una gran oleada descubierta en marzo de 2026, donde los investigadores documentaron 72 extensiones maliciosas en Open VSX.

Se ha descubierto una vulnerabilidad de alta gravedad (CVSS 8.2) en Cursor, un entorno de codificación con IA ampliamente utilizado. La falla, detectada por LayerX, permitía que cualquier extensión instalada accediera de forma oculta a las claves API y tokens de sesión de los desarrolladores. Esto provocaba un compromiso total de credenciales sin activar alertas ni requerir interacción del usuario. A diferencia de las aplicaciones seguras, que almacenan secretos sensibles de manera protegida, esta vulnerabilidad exponía información crítica sin mecanismos de seguridad adecuados.

Una masiva campaña de malware conocida como “StealTok” involucra al menos 12 extensiones de navegador relacionadas entre sí. Estas extensiones se hacen pasar por descargadores de videos de TikTok, pero en secreto rastrean la actividad de los usuarios y recopilan datos sensibles. La campaña, descubierta por la empresa de seguridad LayerX, ha afectado a más de 130.000 usuarios en todo el mundo, con aproximadamente 12.500 instalaciones aún activas en Google Chrome y Microsoft Edge

Una extensión falsa para desarrolladores publicada en el mercado OpenVSX está propagando silenciosamente una cepa de malware conocida como GlassWorm en todos los editores de código instalados en la máquina de un desarrollador. El paquete malicioso se hace pasar por una herramienta de productividad legítima y utiliza un binario nativo compilado para infectar de manera sigilosa VS Code, Cursor, Windsurf y varios otros editores

LinkedIn escanea más de 6.000 extensiones de Chrome mediante JavaScript oculto para recopilar datos de usuarios, incluyendo información sensible vinculada a perfiles reales y competidores como Apollo o ZoomInfo, según el informe BrowserGate. BleepingComputer confirmó que el script detecta extensiones y datos del dispositivo (CPU, memoria, resolución, etc.), aunque LinkedIn niega uso malintencionado y alega protección de su plataforma. El informe surge de una disputa con un desarrollador cuya cuenta fue suspendida.

Cada vez que abres LinkedIn en un navegador basado en Chrome, un JavaScript oculto escanea silenciosamente tu computadora en busca de software instalado sin tu conocimiento, sin tu consentimiento y sin una sola mención en la política de privacidad de LinkedIn. Una investigación reveladora realizada por el grupo europeo de defensa Fairlinked e.V., bajo el nombre de campaña "BrowserGate"

Para muchos usuarios, interactuar con un asistente de IA requiere abrir una pestaña dedicada del navegador, lo que aísla inherentemente a la IA de otras actividades de navegación. Aunque esta separación mejora la privacidad, reduce su utilidad y contexto. Para cerrar esta brecha, las extensiones de navegador con IA han aumentado en popularidad, permitiendo que los agentes de IA interactúen sin problemas con correos electrónicos, portales corporativos

Recientemente se descubrió una grave falla de seguridad en Open VSX, el mercado de extensiones utilizado por editores de código populares como Cursor y Windsurf, así como por el ecosistema más amplio de bifurcaciones de VS Code. La vulnerabilidad se encontró dentro de la nueva canalización de escaneo previa a la publicación de la plataforma, una capa de seguridad diseñada para revisar cada extensión antes de que esté disponible.

Una popular extensión de editor de código listada en el registro Open VSX fue descubierta conteniendo malware oculto que descarga y ejecuta de forma silenciosa un troyano de acceso remoto (RAT) y un infostealer completo directamente en las máquinas de los desarrolladores sin ninguna señal de advertencia visible. La extensión, conocida como fast-draft bajo la cuenta del editor KhangNghiem, había acumulado más de 26,000 descargas antes de que se detectara la actividad maliciosa incrustada

Una extensión maliciosa de Chrome que afirma ayudar a los usuarios de Meta Business roba silenciosamente los códigos 2FA del Facebook Business Manager y datos analíticos, poniendo en riesgo de toma de control cuentas publicitarias de alto valor. La extensión, llamada “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), aún está disponible en la Chrome Web Store y apunta específicamente a entornos de Meta Business Suite y Facebook Business Manager.

Investigadores de LayerX descubrieron 30 extensiones falsas de IA en Chrome con 300.000 usuarios afectados, que robaban credenciales y correos electrónicos.

Más de medio millón de usuarios de VKontakte han sido víctimas de una sofisticada campaña de malware que secuestra silenciosamente sus cuentas a través de extensiones de Chrome aparentemente inofensivas. Las extensiones maliciosas, disfrazadas como herramientas de personalización de VK, suscriben automáticamente a los usuarios a grupos controlados por los atacantes, restablecen la configuración de las cuentas cada 30 días y manipulan tokens de seguridad para mantener un control persistente.

Investigadores han descubierto una importante amenaza de seguridad dirigida a usuarios de ChatGPT a través de extensiones engañosas para navegadores. Se ha detectado una campaña coordinada que involucra 16 extensiones maliciosas de Chrome, todas diseñadas para parecer herramientas de productividad legítimas y aplicaciones de mejora para ChatGPT. Estas extensiones con malware están robando activamente tokens de autenticación de sesión de ChatGPT, lo que otorga a los atacantes acceso completo a las cuentas de las víctimas

Una extensión maliciosa de VS Code ha surgido en el panorama de amenazas digitales, atacando a desarrolladores que dependen diariamente de herramientas de programación. Descubierta el 27 de enero de 2026, la falsa extensión “ClawdBot Agent” se hacía pasar por un asistente legítimo impulsado por IA, pero ocultaba una carga peligrosa bajo su apariencia. 

Investigadores de Huntress descubrieron la extensión maliciosa NexShield, que simula ser una herramienta de seguridad pero instala un troyano de acceso remoto para robar datos, imitando a uBlock Origin Lite. La extensión congela el navegador y muestra falsas alertas para engañar al usuario y ejecutar comandos maliciosos. Para protegerse, se recomienda instalar solo extensiones de fuentes oficiales, revisar las ya instaladas, evitar ejecutar comandos sospechosos y mantener antivirus y sistemas actualizados.